Ruoli e autorizzazioni

Cloud Asset Inventory utilizza Identity and Access Management (IAM) per il controllo degli accessi. Ogni metodo dell'API Cloud Asset Inventory richiede che chi effettua la chiamata disponga delle autorizzazioni necessarie.

Ruoli

Per ottenere le autorizzazioni necessarie per lavorare con i metadati degli asset, chiedi all'amministratore di concederti i seguenti ruoli IAM per l'organizzazione, la cartella o il progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con i metadati degli asset. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per lavorare con i metadati degli asset sono necessarie le seguenti autorizzazioni:

  • Per visualizzare i metadati della risorsa:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Per visualizzare i metadati delle risorse e lavorare con i feed:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Autorizzazioni

La seguente tabella elenca le autorizzazioni che il chiamante deve avere per chiamare ogni metodo API in Cloud Asset Inventory o per eseguire attività utilizzando gli strumenti Google Cloud che utilizzano Cloud Asset Inventory, come la console Google Cloud o gcloud CLI.

I ruoli Visualizzatore di asset cloud (roles/cloudasset.viewer) e Proprietario asset cloud (roles/cloudasset.owner) includono molte di queste autorizzazioni. Se al chiamante è stato concesso uno di questi ruoli e il ruolo Consumer servizi (roles/serviceusage.serviceUsageConsumer), potrebbe già disporre delle autorizzazioni necessarie per utilizzare Cloud Asset Inventory.

RPC

Metodo Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory

Tutte le chiamate Cloud Asset Inventory richiedono l'autorizzazione serviceusage.services.use.

API di analisi

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API Inventory

BatchGetAssetsHistory

ExportAssets

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportAccessPolicy

    Quando utilizzi il tipo di contenuti ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando utilizzi il tipo di contenuti IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando utilizzi il tipo di contenuti ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando utilizzi il tipo di contenuti OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando utilizzi i tipi di contenuti RELATIONSHIP o RESOURCE.

Quando esporti i metadati di un tipo di contenuti non specificato o RESOURCE, invece di concedere l'autorizzazione cloudasset.assets.exportResource a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.

ListAssets

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource per i tipi di contenuti RELATIONSHIP e RESOURCE.

QueryAssets

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource per i tipi di contenuti RELATIONSHIP e RESOURCE.
API dei feed

CreateFeed

cloudasset.feeds.create

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API di ricerca

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

Devi anche cloudasset.assets.searchEnrichmentResourceOwners se cerchi l'arricchimento del proprietario della risorsa.

REST

Metodo Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory

Tutte le chiamate Cloud Asset Inventory richiedono l'autorizzazione serviceusage.services.use.

API di analisi

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API Inventory

batchGetAssetsHistory

exportAssets

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportAccessPolicy

    Quando utilizzi il tipo di contenuti ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando utilizzi il tipo di contenuti IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando utilizzi il tipo di contenuti ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando utilizzi il tipo di contenuti OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando utilizzi i tipi di contenuti RELATIONSHIP o RESOURCE.

Quando esporti i metadati di un tipo di contenuti non specificato o RESOURCE, invece di concedere l'autorizzazione cloudasset.assets.exportResource a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.

assets.list

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource per i tipi di contenuti RELATIONSHIP e RESOURCE.

queryAssets

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource per i tipi di contenuti RELATIONSHIP e RESOURCE.
API dei feed

feeds.create

cloudasset.feeds.create

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API di ricerca

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

Devi anche cloudasset.assets.searchEnrichmentResourceOwners se cerchi l'arricchimento del proprietario della risorsa.

gcloud

Dichiarazione di posizionamento Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory

Tutte le chiamate Cloud Asset Inventory richiedono l'autorizzazione serviceusage.services.use.

API di analisi

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Tutte le seguenti autorizzazioni:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API Inventory

get-history

export

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportAccessPolicy

    Quando utilizzi il tipo di contenuti ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando utilizzi il tipo di contenuti IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando utilizzi il tipo di contenuti ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando utilizzi il tipo di contenuti OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando utilizzi i tipi di contenuti RELATIONSHIP o RESOURCE.

Quando esporti i metadati di un tipo di contenuti non specificato o RESOURCE, invece di concedere l'autorizzazione cloudasset.assets.exportResource a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.

list

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource per i tipi di contenuti RELATIONSHIP e RESOURCE.

query

Una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource per i tipi di contenuti RELATIONSHIP e RESOURCE.
API dei feed

feeds create

cloudasset.feeds.create

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API di ricerca

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

Devi anche cloudasset.assets.searchEnrichmentResourceOwners se cerchi l'arricchimento del proprietario della risorsa.

Autorizzazioni di esportazione per ogni tipo di risorsa

La concessione dell'autorizzazione cloudasset.assets.exportResource a un utente gli consente di esportare tutti i tipi di risorse. Per limitare i tipi di risorse che un utente può esportare, puoi invece concedere autorizzazioni per ogni tipo di risorsa.

Ad esempio, se a un utente viene concesso cloudasset.assets.exportComputeDisks, significa che non può esportare nulla tranne il tipo di risorsa compute.googleapis.com/Disk.

Le autorizzazioni di esportazione delle risorse si applicano solo ai tipi di contenuti RESOURCE e non specificati.

Servizio Tipo di risorsa Autorizzazione esportazione risorse
App Engine appengine.googleapis.com/Application cloudasset.assets.exportAppengineApplications
appengine.googleapis.com/Service cloudasset.assets.exportAppengineServices
appengine.googleapis.com/Version cloudasset.assets.exportAppengineVersions
BigQuery bigquery.googleapis.com/Dataset cloudasset.assets.exportBigqueryDatasets
bigquery.googleapis.com/Table cloudasset.assets.exportBigqueryTables
Bigtable bigtableadmin.googleapis.com/Cluster cloudasset.assets.exportBigtableCluster
bigtableadmin.googleapis.com/Instance cloudasset.assets.exportBigtableInstance
bigtableadmin.googleapis.com/Table cloudasset.assets.exportBigtableTable
Cloud Billing cloudbilling.googleapis.com/BillingAccount cloudasset.assets.exportCloudbillingBillingAccounts
Cloud DNS dns.googleapis.com/ManagedZone cloudasset.assets.exportDnsManagedZones
dns.googleapis.com/Policy cloudasset.assets.exportDnsPolicies
Cloud Key Management Service cloudkms.googleapis.com/CryptoKey cloudasset.assets.exportCloudkmsCryptoKeys
cloudkms.googleapis.com/CryptoKeyVersion cloudasset.assets.exportCloudkmsCryptoKeyVersions
cloudkms.googleapis.com/ImportJob cloudasset.assets.exportCloudkmsImportJobs
cloudkms.googleapis.com/KeyRing cloudasset.assets.exportCloudkmsKeyRings
Cloud OS Config osconfig.googleapis.com/PatchDeployment cloudasset.assets.exportPatchDeployments
Spanner spanner.googleapis.com/Backup cloudasset.assets.exportSpannerBackups
spanner.googleapis.com/Database cloudasset.assets.exportSpannerDatabases
spanner.googleapis.com/Instance cloudasset.assets.exportSpannerInstances
Cloud SQL sqladmin.googleapis.com/Instance cloudasset.assets.exportSqladminInstances
Cloud Storage storage.googleapis.com/Bucket cloudasset.assets.exportStorageBuckets
Compute Engine compute.googleapis.com/Address cloudasset.assets.exportComputeAddress
compute.googleapis.com/Autoscaler cloudasset.assets.exportComputeAutoscalers
compute.googleapis.com/BackendBucket cloudasset.assets.exportComputeBackendBuckets
compute.googleapis.com/BackendService cloudasset.assets.exportComputeBackendServices
compute.googleapis.com/Disk cloudasset.assets.exportComputeDisks
compute.googleapis.com/Firewall cloudasset.assets.exportComputeFirewalls
compute.googleapis.com/ForwardingRule cloudasset.assets.exportComputeForwardingRules
compute.googleapis.com/GlobalAddress cloudasset.assets.exportComputeGlobalAddress
compute.googleapis.com/HealthCheck cloudasset.assets.exportComputeHealthChecks
compute.googleapis.com/HttpHealthCheck cloudasset.assets.exportComputeHttpHealthChecks
compute.googleapis.com/HttpsHealthCheck cloudasset.assets.exportComputeHttpsHealthChecks
compute.googleapis.com/Image cloudasset.assets.exportComputeImages
compute.googleapis.com/Instance cloudasset.assets.exportComputeInstances
compute.googleapis.com/InstanceGroup cloudasset.assets.exportComputeInstanceGroups
compute.googleapis.com/InstanceGroupManager cloudasset.assets.exportComputeInstanceGroupManagers
compute.googleapis.com/InstanceTemplate cloudasset.assets.exportComputeInstanceTemplates
compute.googleapis.com/Interconnect cloudasset.assets.exportComputeInterconnect
compute.googleapis.com/InterconnectAttachment cloudasset.assets.exportComputeInterconnectAttachment
compute.googleapis.com/License cloudasset.assets.exportComputeLicenses
compute.googleapis.com/Network cloudasset.assets.exportComputeNetworks
compute.googleapis.com/Project cloudasset.assets.exportComputeProjects
compute.googleapis.com/RegionDisk cloudasset.assets.exportComputeRegionDisk
compute.googleapis.com/Route cloudasset.assets.exportComputeRoutes
compute.googleapis.com/Router cloudasset.assets.exportComputeRouters
compute.googleapis.com/Snapshot cloudasset.assets.exportComputeSnapshots
compute.googleapis.com/SslCertificate cloudasset.assets.exportComputeSslCertificates
compute.googleapis.com/Subnetwork cloudasset.assets.exportComputeSubnetworks
compute.googleapis.com/TargetHttpProxy cloudasset.assets.exportComputeTargetHttpProxies
compute.googleapis.com/TargetHttpsProxy cloudasset.assets.exportComputeTargetHttpsProxies
compute.googleapis.com/TargetInstance cloudasset.assets.exportComputeTargetInstances
compute.googleapis.com/TargetPool cloudasset.assets.exportComputeTargetPools
compute.googleapis.com/TargetTcpProxy cloudasset.assets.exportComputeTargetTcpProxies
compute.googleapis.com/TargetSslProxy cloudasset.assets.exportComputeTargetSslProxies
compute.googleapis.com/TargetVpnGateway cloudasset.assets.exportComputeTargetVpnGateways
compute.googleapis.com/UrlMap cloudasset.assets.exportComputeUrlMaps
compute.googleapis.com/VpnTunnel cloudasset.assets.exportComputeVpnTunnels
Dataproc dataproc.googleapis.com/Cluster cloudasset.assets.exportDataprocClusters
dataproc.googleapis.com/Job cloudasset.assets.exportDataprocJobs
Google Kubernetes Engine container.googleapis.com/Cluster cloudasset.assets.exportContainerClusters
container.googleapis.com/NodePool cloudasset.assets.exportContainerNodepool
k8s.io/Namespace cloudasset.assets.exportContainerNamespace
k8s.io/Node cloudasset.assets.exportContainerNode
k8s.io/Pod cloudasset.assets.exportContainerPod
rbac.authorization.k8s.io/ClusterRole cloudasset.assets.exportContainerClusterrole
rbac.authorization.k8s.io/ClusterRoleBinding cloudasset.assets.exportContainerClusterrolebinding
rbac.authorization.k8s.io/Role cloudasset.assets.exportContainerRole
rbac.authorization.k8s.io/RoleBinding cloudasset.assets.exportContainerRolebinding
IAM iam.googleapis.com/Role cloudasset.assets.exportIamRoles
iam.googleapis.com/ServiceAccount cloudasset.assets.exportIamServiceAccounts
Pub/Sub pubsub.googleapis.com/Subscription cloudasset.assets.exportPubsubSubscriptions
pubsub.googleapis.com/Topic cloudasset.assets.exportPubsubTopics
Resource Manager cloudresourcemanager.googleapis.com/Folder cloudasset.assets.exportCloudresourcemanagerFolders
cloudresourcemanager.googleapis.com/Organization cloudasset.assets.exportCloudresourcemanagerOrganizations
cloudresourcemanager.googleapis.com/Project cloudasset.assets.exportCloudresourcemanagerProjects

Controlli di servizio VPC

I Controlli di servizio VPC possono essere utilizzati con Cloud Asset Inventory per fornire ulteriore sicurezza per i tuoi asset. Per scoprire di più sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.

Per informazioni sulle limitazioni relative all'utilizzo di Cloud Asset Inventory con i Controlli di servizio VPC, consulta la sezione Prodotti supportati e limitazioni.